当前,我使用的是Birt Report运行时版本4.4.2,内部使用的是iText版本-2.1.7我将Birt Report .rptdesign文件作为模板,并使用Birt Report运行时引擎动态创建/呈现pdf,其中数据来自数据库,而pdf将在网络浏览器中呈现。
根据下面的链接,iText 2.1.7版本中存在XXE漏洞
为了解决上述问题,我打算用OpenPDF jar替换iText 2.1.7 jar版本。但是看起来OpenPDF也使用javax.xml.parsers.DocumentBuilderFactory类,这又会给XXE漏洞
[任何人都可以在openPDF源代码中修复此漏洞并发布新版本吗?
以下是有用的链接,其中Apache PDF框已修复XXE漏洞
此问题已在OpenPDF 1.0.5中修复。因此,我建议使用iText 2.1.7的人升级到最新版本的OpenPDF。